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@> Carte a memoire de masse pour microordinateur. 

@ L'invention concerne les cartes a memoire 
amovibles a plusieurs circuits- in teg res, pour 
ordinateurs personnels. 

Ces cartes a memoire servent de memoire de 
masse de grande capacite destinees a rempla- 
cer les disquettes et autres supports magneti- 
ques amovibles. Pour proteger le contenu de 
ces cartes a memoire contre une utilisation non 
autorisee. on propose selon Tinvention d'incor- 
porer a la carte (CC) une puce de circuit-integre 
specifique de securite (MPS) qui accomplit une 
fonction d'habilitation pour I'acces aux puces 
de memoire (MEM). Un microcontroleur (MPC) 
place egalement dans la carte communique 
avec I'ordinateur et avec le circuit de securite. II 
fait valider par la puce de securite un code 
confidentiel introduit a partir de I'ordinateur. Et 
il fournit des signaux de controle des puces de 
memoire en fonction du resultat de la valida- 
tion. 
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Les cartes a memoire de masse amovibles pour 
microordinateurs (ou ordinateurs personnels ou PC, 
de ranglais w ' personal computer") ont fait leur appari- 
tion recemment comme accessoires des ordinateurs 
personnels, surtout pour les ordinateurs portables. 
Eltes pourraient remplacer dans I'avenir les disquet- 
tes et autres mo yens de stockage de masse de type 
magn6tique. Elles peuvent servir de memoire de 
masse d'aussi grande capacity que les disquettes 
magn^tiques (ordre de grandeur : le million d*octets); 
leur encombrement n'est pas plus grand (format carte 
de credit, epaisseur de 3 a 5 millimetres); elles sont 
beaucoup plus rapides d'acces (plusieurs milliers de 
fois plus rapides). 

Elles peuvent meme servir de memoire vive de 
programme directement executable par le rrvcroordi- 
nateur. Dans ce cas T contrairement atu memoir es de 
masse magnytiques, elles n'ont pas a Acre dechar- 
gees dans la memoire vive (RAM) du PC pour etre 
executees en suite. Les programmes ou efte con bent 
sont ex^cutables directement par le PC. 

Les cartes a memoire de masse, par tots appe- 
I6es encore PC-Cards, com portent plusieurs puces 
de memoire et un connecteur ( connecter* femeile de 
68 broches selon la norme PCMCIA o> "Personal 
Computer Memory Card International Association* 
1030B East Duane Avenue Sunnyvale. CaJtfornte) La 
carte est enf ichable dans un connecteur corresporv 
dant (male) de I'ordinateur. Les conoemom sont tettes 
que la memoire puisse Store adressee par un port cf co- 
tree- sortie parallele du PC, soit comme » la memo*© 
6tait une memoire de masse magrte&que. sort comme 
si eile etait une extension de memoce vwe de rord* 
nateur. 

Selon I'invention, on a pense qu i sera* souha» 
table de securiser autant que possible tes cartes a 
memoire de masse pour ordinateurs personnels. En 
effet, leur grande capacity fait qu eses peuvent conte- 
nir soit des bases de donnees importantes mentant 
d'etre protegees en lecture comrne en eonture. soit 
des programmes couteux qu'on ne souhaite pas voir 
utiliser ou dupliquer sans autorisabon; ou enf in. elles 
peuvent servir a assurer des transactions confiden- 
tielles selon des programmes plus sophistiques que 
ceux qui existent actuellement ou impliquant des 
quantity de donnees plus importantes Que ce que 
peuvent stocker les simples cartes a puces de tran- 
sactions securisees qui ne comportent qu'une puce. 

Les solutions actuellement disponiWes pour as- 
surer une certaine security sont les suivantes : 

- d'abord on peut utiliser les memes types de 
protection que pour les memoires magn^tn 
ques; parmi celles-ci il y a la possibility de ca- 
cher les f ichiers par des atthbuts logiciels qui 
les rendent invisibles pour I'utilisateur lorsque 
celui-ci cherche a y acceder par le microordina- 
teur. C'est une solution classique pour les PC 
fonctionnant sous systfeme DOS. Mais on sait 
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qu'un utilisateur averti peut facilement tourner 
ces protections en accedant de mani&re logi- 
cielle aux attributs des f ichiers et en les modi- 
f iant Cela ne constitue done qu'une protection 
sommaire; 

- il y a ensuite toutes les protections classiques 
utilisees par lesfabricants de logiciels pour pro- 
t6ger ceux-ci contre la copie. Ces solutions 
sont plus ou moins eff icaces, et ne servent en 
tout cas pas a proteger contre ('utilisation; 

- est connue enfin ('utilisation de cartes a puces 
de security pour prot6ger un ordinateur (ou 
d'autres appareils) contre une utilisation par un 
titulaire non habilite. Cette solution va etre rap- 
petee plus en detail ci-apr&s. 

Pour assurer une auto risa lion d'acces a un PC on 
a propose d'adjoindre aux PC un lecteur de carte & 
puce de securite : le lecteur de carte a puce est 
connects au PC; c'est d'ailleurs le clavier et I'ecran de 

20 I'ordinateur qui servent d'interface pour assurer 
I'echange de donnees en vue des operations d'auto- 
risation; la carte a puce comporte une puce unique 
qui est un module de security. La security consiste & 
empecher I'utiltsation du PC si I'utilisateur ne four nit 

25 pas les codes de confidentiality adyquats. Ces codes 
sont introduits a par tir du clavier du PC, selon un pro- 
tocole d'6change specialement prevu entre le PC et 
la carte. C'est le PC dont ('utilisation est a proteger qui 
peut lui-myme servir a assurer I es y changes. La carte 

jo a puce ne fait pas partie du PC. L' utilisateur emporte 
sa carte de security apres avoir utilise I'appareil pour 
ne pas en laisser la tibre disposition a un tiers non au- 
tortse; la security repose en effet essentiellement sur 
la possession simultanee de la carte et d'un code 

35 confidential attribuy a cette carte. 

Si on veut proteger maintenant non pas le PC 
dans son ensemble (car on veut qu'il puisse servir a 
d'autres pour des utilisations courantes) mais la carte 
a memoire de masse qu'on va lui raccorder, il faut pre- 

40 voir alors que la carte de sycurite connectye au lec- 
teur de carte associy au PC va provoquer non pas I'in- 
terdiction totale de fonctionnement du PC mais selec- 
bvement I'interdiction de fonctionnement du port au- 
quel est raccordee la carte a memoire de masse. 

45 On pense cependant que cette solution presente 

des inconvynients etn'assure pas unesycurity suffi- 
sante contre une utilisation non souhaitee de la carte. 

Selon I'invention, on propose une solution origi- 
nals consistant a incorporer a la carte a mymoire de 

so masse amovible elle-meme (qui comporte plusieurs 
circuits-intygrys de mymoire) au moins un circuit in- 
tygry de sycurity apte a controler faeces aux zones 
de mymoire de la mymoire de masse. 

Le contr6le est fait en principe en fonction d'infor- 

55 mations d'habilitation que I'utilisateur doit fournir par 
I'intermediaire de I'ordinateur (code conf identiel intro- 
duit au clavier ou autre mode d'habilitation). 

Par circuit de sycurite on entend ici une puce de 
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circuit-integre unique comportant une memoire non 
volatile avec des informations conf identielles qui ne 
peuvent pas etre transmises sur les bornes exterieu- 
res du circuit-integre, et une circuiterie de securite 
programmee, apte a utiliser ces informations confi- 
dentieiles et d'autres informations fournies par I'utili- 
sateur, pour delivrer des instructions de validation 
apres verification d'une relation predeterminee entre 
ces deux types d'information; les donnees confiden- 
tielles ne sortent pas a I'exterieur du circuit integre. 

Ce circuit de securite est de preference le meme 
que le circuit unique d'une carte a puce d'habilitation 
(celle dont on a parte plus haut et qui peut servira au- 
toriser le fo notion ne me nt d'un ordinateur lorsque le ti- 
tulaire I'introduit dans I'ordinateur). Mais ici, on n'uti- 
lise pas une carte d'habilitation amovible servant a 
autoriser lefonctionnement de I'ordinateurou du port 
de connexion avec la memoire de masse. On place di- 
rectement une puce de securite dans la memoire de 
masse pour securiser le contenu de celle-ci. 

II faut noter que les puces de securite utilisees 
pour proteger en lecture ou ecriture les donnees 
d'une memoire ne servaient jusqu'a present qu'a pro- 
teger le contenu de la memoire interne de fa puce elle- 
meme, utilisant le fait que dans le cas d'une puce uni- 
que les donnees a proteger ne sont pas transmises en 
dehors de la puce. Et i) ne s'agissait d'ailleurs pas de 
memoires de masse mais de tres petites memoires, 
justement parce que ces memoires etaient placees 
dans la puce. Et par aiileurs les puces de securite uti- 
lisees pour proteger d'autres appareils etaient incor- 
porees a une carte de securite distincte de i'appareil 
a proteger, carte que I'utilisateur habilite trans porte 
avec lui et ne laisse pas dans I'appareil a proteger. Ici, 
on n'utilise pas de carte a puce distincte de I'appareil 
a proteger et transportable a distance de I'appareil a 
proteger, mais pi u tot une puce de circuit- integre mon- 
t6e de maniere inamovible dans la carte a memoire 
dont ('utilisation doit etre protegee. 

Parcette disposition on atteint une protection de 
f ichiers, en lecture et/ou en ecriture bien superieure 
a celle qui est obtenue par les moyens standards (de 
type logiciel : fichiers caches) de protection de fi- 
chiers d'ordinateurs personnels. 

La puce de securite (appelee ci-apres egalement 
module de securite) controle (directement ou indirec- 
tement) les moyens d'acces aux drf ferentes puces de 
memoire de la carte. 

En pratique, on preferera utiliser une puce de se- 
curite de type standard, c'est-a-dire du type utilise 
dans les cartes de securite d'acces a des appareils ou 
des locaux, ou encore dans les cartes de transactions 
securisees; ces puces utilisent un mode de commu- 
nication serie; elles n'ont en general que six ou huit 
plots de connexion avec I'exterieur, dont un seul plot 
de communication de donnees ou d'instructions. 

On prefere alors placer dans la carte a memoire 
une puce supplemental constituant un processeur 



BNSDOCID: <EP 0552079A1_I_> 




552 079 A1 4 

de contrdle de la carte. Ce processeur ou microcon- 
troleur aura pourfonction de realiser une interface en- 
tre le connecteur de la carte et la puce de securite, et 
une interface entre la puce de securite et les puces 
5 de memoire. En pratique, le deroulement d'un pro- 
gramme de verification de I'habilitation d'un titulaire 
pourra se faire sous la commande du processeur de 
controle; ce programme pourra alors etre contenu 
dans une memoire de programme faisant partie de la 

10 meme puce que le processeur de controle; ou alors 
ce programme pourra etre contenu eventuellement 
dans une partie de la memoire de masse elle-meme, 
si cette partie est connectee a un bus executable du 
processeur de controle. 

15 La puce de securite comporte elle-meme un mi- 

croprocesseur et des memoires, avec parmi ces me- 
moires des memoires non volatiles programmables 
electriquement et eventuellement effacabies electri- 
quement. Le programme de fonctionnement de ce mi- 

20 croprocesseur est en principe enregistre dans une 
memoire morte de la puce; mais il peut etre egale- 
ment partiellement enregistre dans une memoire non 
volatile programmable et effacable electriquement. 
Le contenu de certaines au moins des memoires non 

25 volatiles n'est pas accessible en lecture sur les bor- 
nes exterieures de la puce. Ce contenu est utilise ex- 
clusivement par le mi croprocesseur pour ses besoins 
propres, et notamment pour I'execution de program- 
mes de securite faisant intervener des codes secrets 

30 places dans ces memoires in access! bles. 

On peut par exemple envisager que la memoire 
de donnees conf identielles de la puce de securite 
contienne un mot d'habilitation pour chaque zone me- 
moire de la memoire de masse : s'il y a 24 puces me- 

35 moires il peut y avoir 24 mots d'acces diffe rents; il 
peut aussi y avoir des hierarchies d'acces pour fae- 
ces a plusieurs zones de memoire. 

Par aiileurs, pour une securite renforcee, on peut 
prevoir que les donnees stockees dans la memoire de 

40 masse sont cryptees et que le module de securite 
comporte un programme de cryptage et decryptage. 
Les donnees de la memoire peuvent alors etre 
communiquees a travers le module de securite (en 
lecture ou en ecriture). Le module de securite peut ef- 

45 fectuer lui-meme le cryptage ou le decryptage; mais 
il peut aussi fournir une cle de calcul au processeur 
de controle qui effectuera alors lui-meme le cryptage 
et le decryptage (seulement en presence d'une habi- 
litation reconnue par la puce de securite). 

50 D'autres caracteristiques et avantages de r inven- 

tion apparattront a la lecture de la description detail! ee 
qui suit et qui est faite en reference aux dessins an- 
nexes dans lesquels: 

- la figure 1 represente I'architecture de la carte 
55 a memoire de masse selon I'invention; 

- la figure 2 represente un detail de circuit. 

La carte CC representee a la figure 1 est destinee 
a etre inseree dans un ordinateur personnel (appele 

3 
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ci-apr6s PC pour "personal computer"); la carte 
comporte un connecteur enfichable standard CNC, 
de preference du type defini par la norme PCMCIAet 
le PC comporte un connecteur correspondant pour 
recevoir la carte. 

La carte est une carte a memoire, c'est-a-dire 
qu'elle est destlnee a servir principalement a stocker 
des donnees. Pour cette fonction, la carte comporte 
soit plusieurs types de memoire drfferents (RAM sta- 
tlque ou dynamique, ROM, EPROM, EEPROM, 
FLASHEPROM sontles types les plus courants) soit 
un seui type de memoire. Si les memoires sont des 
m6moires RAM, par essence volatiles, on peut pr&- 
voir une pile d'alimentation de secours pour la sauve- 
garde des donn6es. 

Pour obtenir une plus grande capacity de stocka- 
ge, plusjeurs puces de circuit- in t6gr6 sont prevues, 
chacune etantune puce de memoire. Ces puces sont 
globalement designees sous la reference MEM. II 
peut y avoir plusieurs dizaines de puces sur la carte 
pour des grandes capacit&s de stockage (plusieurs 
m6gaoctets par exemple). 

La carte CC est un organe p6ripherique amovible 
de I'ordinateur PC. EHe peut etre utilisee soit comme 
p6riph6rique de stockage de masse, soit comme ex- 
tension de memoire vive. C'est I'ordinateur qui g£re 
ce choix (lorsqu'un choix est possible, c'est-a-dire 
surtout lorsqu'il y a plusieurs types de memoire dans 
la carte). 

Outre les memoires MEM, la carte comporte, se- 
lon Tinvention, un module de securite, qui est une 
puce de circuit-integr6 MPS comportant un micropro- 
cesseur, de petites memoires, et des programmes 
pour le fonctionnement du micro processeur; ce mo- 
dule a pour fonction essentielle d'assurer la securite 
d'acc6s aux memoires MEM a partir de I'ordinateur. 

De preference, la carte CC comprend encore une 
puce supplemental qui est un processeur de contro- 
le ou microcontroleur MPC, c'est-a-dire un micropro- 
cesseur auquel sont associees des memoires de pro- 
grammes. Ce microcontroleur MPC a pour fonction 
remission de signaux de controle d'acces aux puces 
de memoire en fonction d'informations de securite 
donnees par le module de securite MPS et en fonc- 
tions de requetes d'acces faites a partir du PC. On no- 
tera que ce microcontroleur possede des sorties de 
donnees en parailele pour fournir directement plu- 
sieurs signaux de contrdle a destination des memoi- 
res. Le module de s6curite n'a quant a lui en principe 
que des sorties de donnees en serie sur une seule 
borne d'entree/sortie, et c'est la raison pour laquelle 
deux puces differentes MPS et MPC sont prevues 
avec chacune un microprocesseur. Si le module MPS 
avait des sorties de donnees paralleles on pourrait se 
dispenser de la puce MPC; les fonctions de ces deux 
circuit? seraient accomplies par un seul circuit a mi- 
croprocesseur comportant des memoires de pro- 
grammes correspondant aux differentes fonctions a 



accomplir. 

Le module de securite MPS agit comme "esclave" 
par rapport a un "maitre" qui est le microcontr6leur 
MPC. 

5 Les memoires MEM sont connectees au PC par 

I'interm6diaire de plusieurs bus : un bus d'adresse, 
un bus de donnees, et un bus de signaux de controle. 
Toutefois, ces bus sont controles par up circuit de 
verrrouillage CV, lui-meme controle par le microcon- 

10 trdleur MPC, de maniere que I'acces aux memoires 
ne soit pas completement libre, sauf si Cauterisation 
en est donnee par le microcontroleur MPC. 

Dans I'exemple represents, on a suppose que le 
circuit de verrouillage CV agit sur le bus d'adresse et 

15 sur le bus de signaux de controle mais pas sur le bus 
de donnees. D'autres solutions sont cependant pos- 
sibles. 

C'est pourquoi on a represents d'une part un bus 
de donnees BD1 allant directement du connecteur 

20 CNC a la memoire MEM; d'autre part un bus d'adres- 
se allant du connecteur a la memoire et inter rompu 
par le circuit de verrouillage CV; ce bus est reference 
AD1 en amont du circuit de verrouillage (du cote du 
connecteur) et AD3 en aval (du cote de la m6moire); 

25 enf in, un bus de signaux de contrdle (SC1 en amont; 
SC3 en aval) egalement interrompu par le circuit de 
verrouillage CV. On remarquera provisoirement qu'un 
autre circuit (circuit d'aiguillage AA) est interpose en- 
tre le bus SC3 et la memoire. II a pour fonction d'ai- 

30 guiller vers la memoire soit les signaux de controle du 
bus SC3 en provenance du PC, soit des signaux de 
controle d'un bus SC2 en provenance du microcontro- 
leur MPC. On reviendra sur ce point plus loin. Le bus 
de signaux de controles aboutissant f inalement a la 

35 m6moire est designe par SC, en aval du circuit d'ai- 
guillage. 

A titre d 'exemple illustratif simpl if ie, on peut 
considSrer par exemple que les bus de controle SC1, 
ou SC2 ou SC3 ou SC transported des signaux tels 

40 que des ordres de lecture (RD1, RD2, RD3, RD) ou 
d'6criture (WR1, WR2, WR3, WR) ou des ordres de 
selection d'une puce parmi plusieurs (CEa1 , CEa2, 
CEa3, CEa pour la selection d'une puce de m6moire 
A parmi plusieurs puces A, B, C; ou CEb1, CEb2, 

45 CEb3, CEb pour la puce B, etc.). 

Le circuit de verrouillage CV est directement 
controle par un bus d'habilitation SH issu du micro- 
controleur MPC. Ce bus transporte des signaux d'au- 
torisation ou d' interdiction de passage des signaux de 

so contrdle ou d'adresse qui transient a travers le circuit 
de verrouillage CV. Atitre d'exemple toujours, on peut 
imaginer qu'il y a un signal d'habilitation de lecture 
SHR, un signal d'habilitation d'6criture SHW, des si- 
gnaux d'habilitation pour chaque puce de memoire, 

55 SHA pour la puce A, SHB pour la puce B, SHC pour 
la puce C. 

La particularite est que les signaux d'habilitation 
sont directement issus du microcontroleur MPC. 
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Le microcontrdleur MPC a done ta possibility d'in- 
terdire electroniquement et syiectivement I'acces en 
lecture ou en ecriture k certaines parties de la memoi- 
re MEM de la carte. 

Pour terminer la description generale de ('archi- 
tecture de la figure 1, on signalera encore les points 
suivants : 

- le microcontrdleur MPC peut acceder k volonte 
k la memoire MEM; le plus simple est de prevoir 
que cette memoire est k double acces et e'est 
pourquoi on a represents un bus d'adresse 
AD2 et un bus de donnees BD2 entre le micro- 
controleur et la memoire; mais cette solution 
n'est pasobligatoire, une memoire a simple ac- 
ces etant egalement possible; 

- I'acces par le microcontroleur MPC k la memoi- 
re se fait a I'aide d'un bus de signaux de contrd- 
le SC2 issu du microcontrdleur, mais, comme 
on I'a dit, ce bus transite k travers le circuit d'ai- 
guillage AA; cette disposition vise k permettre 
un focntionnement du microcontrdleur en cir- 
cuit ferme avec la memoire MEM pendant cer- 
taines phases de programmes; 

- un signal d'aiguillage general SGA, issu du mi- 
crocontrdleur MPC commande I'aiguillage AA. 

- enfin, dans.le cas general ou des demandes 
formulees par le PC exterieur transitent syste- 
matiquement par la memoire MEM avant 
d'aboutirau microcontrdleur pour etre interpre- 
tees et executees, il est utile de prevoir que les 
ordres d'ecriture WR1 issus du PC sont appli- 
ques directement au microcontrdleur MPC; de 
cette maniere, ce dernier peut savoir qu'une 
demande a ete faite et peut aller chercher 
eventuellement une instruction k interpreter; 
e'est pourquoi une connection directe WR1 a 
ete representee entre le connecteur CNC et le 
microcontrdleur. 

Lacces k certaines zones de memoire (certaines 
puces par exemple ou certaines zones de puces) est 
autorise par le microcontrdleur MPC en fonction de 
criteres de security predefinis et en fonction de 
confirmations donnees par le module de security. 

Le module de securite est par exemple la puce de 
circuit integre du composant vendu par SGS-THOM- 
SON sous la reference ST1 6612, k laquelle est incor- 
pore le programme de memoire non volatile MCOS de 
la societe GEMPLUS. Ce composant possede les 
particulates suivantes : les donnees de memoire 
sont invisibles pour I'utilisateur car elles ne transitent 
pas sur les entrees-sorties de la puce. Elles sont ega- 
lement invisibles optiquement (masquees). La puce 
comporte un microprocesseur et lui seul peut aller 
chercher ettraiter des donnees en memoire. Les pro- 
grammes de memoire morte sont realises par mas- 
quage. lis ne sont done pas modifiables. Ces pro- 
grammes n'autorisent pas I'acces k toutes les zones 
de memoire de la puce. Lorsqu'un code secret d'ha- 



bilitation est presents sur les entrees de la puce, il est 
traite par le microprocesseur qui fournit en reponse 
des signaux d'habilitation ou d'interdiction, et k aucun 
moment la nature du traitement de verification ne peut 
5 etre detectee sur les bornes d'entr6e/sortie de la 
puce. 

La procedure se deroule par exemple de la ma- 
niere suivante : insertion de la carte a memoire de 
masse dans I'ordinateur declenche les operations 

10 suivantes : demande par le PC du code confidentiel 
d'habilitation du titulaire; ce code est introduit par I'uti- 
lisateur sur le clavier du PC selon un protocole de 
communication parallel e standard pourun PC. II est 
transmis au processeur de contrdle MPC de la carte 

15 et retransmis par celui-ci vers le module de security 
MPS dans un format comprehensible par celui-ci (en 
principe par consequent sous forme serie sur la seule 
borne d 'entree/sortie disponible sur la puce MPS). Le 
module de security verifie le code confidentiel et 

20 transmet au processeur de contrdle un mot de contrd- 
le traduisant Tetat des autorisations donnees (inter- 
diction total e, autorisation total e, autorisation partielle 
de certaines zones de mymoire par exemple). Le pro- 
cesseur de contrdle MPC recoit ce mot sous forme 

25 serielle et etablit alors sur le bus SH les signaux d'ha- 
bilitation correspondants (SHA, SHB, SHC, SHR, 
SHW ...) qui commandent I'acces aux diverses puces 
de memoire. Puis I e processeur de contrdle renvoie 
vers le PC un mot d'etat indiquant que la procedure 

30 de security a yte effectuee et indiquant le resultat de 
cette procedure. 

Dans ce systeme on comprend que e'est le micro- 
contrdleur MPC qui gere les programmes de security 
de la carte k memoire. II def init les autorisations et les 

35 interdictions, et utilise le module de security comme 
organe specialise de v§rification d'une habilitation 
par code confidentiel. Aucune operation de security 
d'accds n'est gerye par le PC. 

Les circuits de verrouillage et d'aiguillage CV et 

40 AAsont des circuits de logique cabtee extremement 
simples. Un exemple en est donnee k la figure 2 pour 
faciliter la compryhension du principe de invention. 

On suppose par exemple que I'acces aux diver- 
ses puces de mymoire en lecture et en ecriture exige 

45 la presence de signaux de syiection de puces ("chip 
enable") CEa, CEb, CEc pour les puces A, B, C res- 
pectivement, et la prysence d'ordres de lecture RD ou 
d'ycriture WR. Les signaux CEa, CEb, CEc forment 
done dans cet exemple le contenu du bus de contrdle 

50 SC aboutissant k la memoire MEM. 

Des demandes d'acces sont formulees par le PC 
extyrieur sous formes de signaux CEa1 , CEb1 , CEc1 , 
RD1, WR1 sur le bus SC1. Des signaux SHA, SHB, 
SHC, SHR, SHW sont prysents sur le bus d'habilita- 

55 tion SH. Chacun de ces signaux commande I'ouver- 
ture ou la fermeture d'une porte ET respective; cha- 
cune des portes recoit un signal de contrdle respectif. 
Les sorties de ces portes constituent le bus SC3 de 
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la figure 1, transportant ou non les signaux de contrcV 
le tels que recus du PC selon les autorisations don- 
nees par le microcontrfileur. 

Les signaux de controls transports sur le bus 
SC3 sont appliques au circuit d'aiguillage AA qui a 6te 
represents partiellement sur la figure 2. 

Le circuit d'aiguillage est controle par un signal 
d'aiguillage SGA. Selon I'etatde ce signal, on trans- 
fere vers le bus SC (c'est-a-dire vers la memo ire 
MEM) soit les signaux de controle issus du bus SC3 
(par exemple RD3, WR3, etc.) done du PC sous 
controle du microcontrdleur, soit les signaux de 
controle (RD2, WR2, etc.) issus du microcontroleur 
lui-meme. 

Par exemple, pour I'aiguillage des signaux de 
contrSle de lecture RD, une porte ET recoit RD3 et est 
commandee par le signal SGA; une autre recoit RD2 
et est commandee par le complement logique de 
SGA, et une porte OU recoit les sorties de ces deux 
porteset four nit le signal de lecture RD; ce signal est 
soit RD2 soit RD3 selon I'etat de SGA. 

L'actlon du circuit de verrouillage CV a ete repre- 
sentee sur les signaux de controle uniquement, ma is 
on comprendra, conformement a I' architecture dessi- 
nee sur la figure 1 , qu'elle peut s'exercer aussi sur les 
bits d'adresse envoy 6s par le PC. 

Dans une structure de securite renforcee, les 
donnees stockees dans la memoire sont cryptees au 
moyen d'une cle secrete. La c!6 secrete de decryp- 
tage n'est pas connue de i'utilisateur. Elie est conte- 
nue dans le module de securite. Sur presentation d'un 
code d'habOitation valable, le module de securite four- 
nit la cle secrete au microcontroleur MPC qui peut 
alors executer un programme de decry ptage des don- 
nees de memoire et les transmettre au PC sous forme 
dechrffree. On s'assure ainsi que les donnees 
stockees dans la memoire ne sont pas copiables uti- 
lement par une personne non habilitee. L'inscription 
de donnees dans la memoire peut aussi se faire de 
maniere cryptee avec la meme cle de cryptage, et la 
encore seulement apres reconnaissance de I'habilita- 
tion de I'utilisateur. 

On notera qu'on ne fait pas sortir des donnees 
sous forme cryptee comme e'est le cas dans certai- 
nes applications de securite, mais on crypte les don- 
nees stockees a I'interieurde la carte a memoire pour 
qu'une copie de ces donnees soit inutilisable par quel- 
qu'un qui n'est pas habilite. 

Cela veut dire en particulier que meme si on for- 
fait frauduleusement le signal SGA ou les signaux 
RD, WR, pour lire les donnees de la carte, ces don- 
nees resteraient inexploitables. 

Des variantes de I'invention sont possibles : par 
exempt, on peut prevoir soit que les adresses et don- 
nees transitent librement du PC vers les memoires et 
inversement lorsque I'habilitation a ete donnee, soit 
que les adresses et/ou les donnees transitent tou- 
jours par le microcontroleur. 
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Dans cette realisation, on a suppose, pour des 
raisons pratiques de communication rapide avec le 
PC que les entrees-sorties de la carte constituent un 
connecteur parallele au standard PCMCIA. Mais dans 

5 certains cas, on peut imaginer que la sortie se fait sur 
un connecteur a contacts aff leurants au standard ISO 
7816, ne comportant que quelques contacts, par mi 
lesquels un seul contact d'entree-sortie en mode de 
communication serie. On obtient ainsi une carte a me- 

10 moire securisee de grande capacite au standard des 
cartes de credit, inserable dans un lecteur de carte de 
credit classique a la seule condition que I'epaisseur 
de la carte dans la region qui devra etre inseree soit 
assez mince pour entrer dans la fente du lecteur. Une 

15 zone de carte amincie pourra etre prevue si e'est ne- 
cessaire; cette zone portera les contacts affleurants 
au standard ISO 7816. 

Pour terminer cette description, on peut donner 
un exemple de fonctionnement avec securite renfor- 

20 cee dans lequel certains f ichiers de la memoire MEM 
sont encore plus proteges. A chaque f ichler protege 
est associe une certaine "signature" qui represente 
ce fichier et qui est alteree si le fichier est modif ie. 
Cette signature est constitute a partir du contenu du 

25 fichier lui-meme : par exemple e'est la concatenation 
de tous les bits du fichier. Cette signature est stockee 
dans une memoire non volatile et non accessible du 
module de securite. Lorsque le fichier doit etre utilise 
(et tout particulierement dans le cas ou il va servir de 

30 programme executable par le microcontroleur MPC), 
on va d'abord verifier qu'il n'y a pas eu alteration du 
fichier. S'il y a eu alteration, on empechera toute uti- 
lisation. Pour cela, le microcontrdleur va d'abord re- 
calculer la signature du fichier (auquel il a acces); il 

35 va demander au module de securite quelle est la si- 
gnature attendue; puis faire la comparaison et ne va- 
lider ['utilisation que si les signatures se correspon- 
dent. La comparaison pourrait aussi se faire a i'inte- 
rieur du module de securite. II peut y avoir dans le mo- 

40 duie de securite autant de signatures stockees que de 
f ichiers a proteger. II y a done dans le module de se- 
curite une "image" des fichiers a proteger de la me- 
moire MEM, sous forme d'un fichier de signatures 
correspondant aux diverses parties a proteger. 

45 

Revendications 

1. Carte a memoire (CC) a plusieurs circuits-inte- 
50 gres de memoire constituant une memoire de 

masse amovible pour un microordinateur (PC), 
caracterisee en ce qu'elle comporte en outre une 
puce de circuit-integre specif ique (MPS) pour as- 
surer la securite contre I'acces a au moins certak 
55 nes zones de memoire par un utilisateur du mi- 

croordinateur qui n'est pas habilite a cet acces. 

2. Carte a memoire selon la revendication 1 , carac- 

6 
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terisee en ce que le circuit de securite (MPS) est 
. une puce de circuit integre unique comportant 
une memoire non volatile avec des informations 
confidentielles qui ne peuvent pas etre transmi- 
ses sur les bornes exterieures du circuit-integre, 5 
et une circuitehe de securite programmee, apte a 
utiliser ces informations confidentielles et d'au- 
tres informations fournies par Tutilisateur, pour 
delivrer des instructions de validation apres veri- 
fication d'une relation predeterminee entre ces 10 
deux types d'information. 

3. Carte a memoire selon Tune des revendications 
1 et 2, caracterisee en ce qu'elle comporte une 
puce de microcontrdleur (MPC) avec des pro- 15 
grammes en memoire non volatile pour controler 

le circuit de securite (MPS), iui faire executer des 
taches de verification d'habilitatton et utiliser les 
signaux emis par le circuit de securite pour 
contrdler I'acces aux zones de memoire en fono 20 
tion de ces signaux. 

4. Carte a memoire selon Tune des revendications 
precedentes, caracterisee en ce que des moyens 
sont prevus pour executer un programme de 25 
cryptage des donnees introduites dans la memoi- 
re et un programme de decryptage des donnees 
extraites de la memoire, le programme de cryp- 
tage etle programme de decryptage etant execu- 
tables seulement apres fourniture de signaux 30 
d'habilitation par le circuit de securite. 

5. Carte a memoire selon la revendication 4, carac- 
teris6 en ce que les programmes de cryptage et 

de decryptage sont executables a Taide d'une cle 35 
de cryptage contenue dans le circuit de securite. 

6. Carte a memoire selon Tune des revendications 
1 a 3, caracterisee en ce que le module de secu- 
rite comporte un fichier de signatures calculees 40 
de f ichiers a proteger contenus dans la memoire 
(MEM), et en ce que la carte comporte des 
moyens pour verifier que la signature d'un fichier 
determine est bien la meme que la signature 
stockee dans le module de securite. 45 
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